企业内部控制的设计与评价问题-张龙平-课件

1、企业内部控制的设计和评价问题张龙平 中南财经政法大学会计学院 教授、博导中国注册会计师审计准则委员会 资深委员中国会计准则委员会 咨询专家中国企业内部控制标准委员会 咨询专家中国国家审计准则技术咨询专家组 成员ZLPCALY8一、为什么要如此重视内部控制？ （一）国家整体管制角度 外部、内部、内外结合型（外部干预型）监管 （2001年大陆财政部发布内部会计控制规范） （二）单个企业发展角度 企业（公司）生存、质量与效益的重要性 （二）社会公众需求角度 关注财务报表同时关注相关内部控制 二、什么是企业内部控制？（一）内部控制的概念 内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现

2、控制目标的过程。（全面内部控制理念）（二）内部控制的5目标 合理保证经营合规、资产安全、财务报告及相关信息真实完整、经营有效性，促进企业实现发展战略。美国内控目标如下: 美国COSO认为内部控制应实现以下4大目标： 即合理保证实现： （1）战略的实现； （2）经营（operation）的效率和效果； （3）财务报告（financial reporting）的可靠性； （3）对法律法规的遵守（compliance）。 注：资产安全目标哪去了？（2）（3）（三）内部控制的5要素1、内部环境（控制环境）2、风险评估3、信息与沟通4、控制活动5、内部监督 (对控制的监督)注：内控中5W理论的运用。（5

3、W：who, when,where,what,why. 另外一般加1H,就是how。比如高校的行政人员管理）2、风险评估过程）风险评估过程，是指识别经营风险，包括：管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。（例如：凯迪电力的生物质电厂，主要风险点：科学管理+政策争取+安全生产+原材料供应+资金安全+成本控制） 3、信息与沟通包括与财务报告相关的信息系统职能：）识别与记录所有的有效交易；）及时、详细地描述交易，以便在财务报告中对交易作出恰当分类；）恰当计量交易，以便在财务报告中对交易的金额作出准确记录；）恰当确定交易生

4、成的会计期间；）在财务报表中恰当列报交易。补充讲：实物控制的一般内容 1、建立严格的入库、出库手续。任何财产物资的购人，领用及销售都要填制相应的合法凭证，予以准确的计量，及时记录入账并进行结算。 2、建立安全、科学的保管制度。安全保管，要求在选择库址，库防设施，安全保卫方面都要有相应的措施和制度。科学保管，要求对财产物资应分门别类地存放在指定的位置，必要时还应进行科学化编号，以便于发料，盘点。 3、财产物资要实行“永续盘存制”。以便随时在账上反映出结存数额。 4、建立财产清查制度。企业应根据自身业务特点和管理要求，采用定期盘存或轮番盘存的方法，对财产物资进行清查，妥善处理盘盈盘亏，保证账实相符

5、。 5、建立档案的保管制度。要对有关财产管理方面的记录资料编造清册，定期清查，妥善保管。 5、对控制的监督对控制的监督，是指某企业（单位）评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。（四）内部控制的固有局限性 内部控制存在下列固有局限性，无论如何设计和执行，只能对控制目标的实现，提供合理的保证，而不能提供绝对的保证： 1、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效； 2、可能由于两个或更多人员进行串通或管理层凌驾于内部控制之上而被规避。 补充讲：内部牵制机能的执行方式：(1)实物牵制。例如把保险柜的钥匙交

6、给两个以上的工作人员持有，非同时使用这两把以上的钥匙，保险柜就打不开。(2)机械牵制。例如保险柜的大门不按正确程序操作就打不开。(3)体制牵制。采用双重控制预防错误和舞弊的发生。(4)簿记牵制。定期将明细账与总账进行核对。 交叉检查或交叉控制。强调一个部门或一个人不能完成一项业务活动的全过程，需要适当的职责划分或职责分工。如同史蒂文J.鲁特在超越COSO一书中所描述的那样：职责划分的目的是通过增加操作的难度，减少任何个人挪用公款或从事其他非法行为的潜在机会。 （二）内部控制制度阶段（2分法） 20世纪50年代：内部会计控制和内部管理控制（三）内部控制结构阶段（3分法） 20世纪70年代：控制环

7、境、会计系统和控制程序（四）内部控制框架阶段（5分法） 进入20世纪90年代后， COSO报告：控制环境、风险评估、控制活动、信息和沟通、对控制的监督四、企业内部控制规范体系 1、企业内部控制基本规范 2、企业内部控制应用指引 3、企业内部控制评价指引 4、企业内部控制审计指引注：2006年6个部委组建中国企业内部控制标准委员会，迄今工作成果如下： A, 1、已发布自2009-7-1起上市公司执行（5部位联合发布）。 B, 234于2010-4-26发布，2011-1-1起境内外上市公司执行，2012-1-1起主板执行，在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提

8、前执行。 1、企业内部控制基本规范1个1)五个目标：合规性、可靠性、安全性、经济性，战略性（美国COSO是：4个目标，无安全性）2)五个原则：全面性、重要性、制衡性、适应性、成本效益3)五个要素：内部环境、风险评估、信息与沟通、控制活动、内部监督 2、企业内部控制应用指引21个 总体情况：21个应用指引（此次发布18个，涉及银行、证券和保险等业务的3个指引暂未发布）18个应用指引的分类：（1）内部环境类指引-5个（2）控制活动类指引-9个（3）控制手段类指引-4个注：基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。 18个应用指引的内容：（1）内部环境类指引5个 组织框架（含治理

9、结构、机构设置、职责分配及不相容职务分离）、发展战略、人力资源、企业文化、社会责任（含安全生产，产品质量，环境保护与资源节约等） （注：企业自我评价时要以内部环境为基础）（2）控制活动类指引9个 资金活动、资产管理、采购业务、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告 （注：企业自我评价时要以控制活动为重点）（3）控制手段类指引4个 全面预算、合同管理、内部信息传递、信息系统 （注：企业自我评价时应当兼顾控制手段）注：财政部等已出台一些具体的操作手册或讲解材料重点讲：内部控制应用（设计）一、内部控制的设计原则二、内部控制的保障机制三、企业内部控制应用指引的结构四、单项内部控制

10、的具体设计问题一、内部控制设计的5个原则 （一）全面性原则。内控贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。三、企业内部控制应用指引框架第一章：总则(含本指引制定目的，控制对象（定义）

11、，相关风险，关键控制点）第二至N章：具体规定关键控制点(不相容岗位分离)（总要求是：职责分工与授权控制，全面实现控制目标）、第一关键控制点、第二关键控制点N、评估与披露（第-1个关键控制点）四、单项内部控制的具体设计（一）明确控制目的（二）明确控制对象（定义）举例：采购，主要是指企业原材料、商品和劳务的购买、审批、验收、付款等行为 。（四）明确关键控制点举例:采购关键控制点）购买与审批）验收与付款）评估与披露 （五）具体规定关键控制点举例：采购）购买与审批）验收与付款）评估与披露 （六）不相容岗位举例举例：采购控制的不相容岗位：（）请购与审批。（）供应商的选择与审批。（）采购合同协议的拟订、审

12、核与审批。（）采购、验收与相关记录。（）付款的申请、审批与执行。3、企业内部控制评价指引1个（1）管理层要提交内部控制评价报告 （年度评价和专项评价）（2）评价工作的组织与实施 1）谁负责：企业主要负责人 2）谁实施：董事会（或类似决策机构）或其授权机构（可借助CPA或外部专家） 3）遵循原则：全面性、重要性和独立性等原则 4）评价工作程序（即评价方案的设计及实施） 5）评价方法 6）工作底稿编制与复核 （3）年度评价和报告的内容1）评价：对整个年度、整个内部控制在某一基准日 的有效性评价后，发表一个意见。2）报告：需报告内控设计或执行存在的缺陷，包括 重大缺陷。 注：我们随后讲内部控制缺陷有

13、三种： 重大缺陷 重要缺陷 一般缺陷 （4）内部控制缺陷的认定 1）设计缺陷和运行缺陷企业在内部控制评价中，应对内部控制缺陷进行分类分析。 设计缺陷：缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷：现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。2）重大缺陷、重要缺陷和一般缺陷重大缺陷：是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形。重要缺陷：是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形。一般缺陷：是指除重大缺陷、重要缺陷之外的

14、其他控制缺陷。 敬请注意：上述缺陷的整改责任人不同：董事会（或监事会监督）；经理层；内部有关单位 （5）内部控制评价报告 1）内部控制责任主体的声明。2）内部控制评价的总体情况。3）内部控制评价的依据。4）内部控制评价的范围。5）内部控制评价的程序和方法。6）内部控制缺陷及其认定情况。7）内部控制缺陷的整改措施含重大缺陷的整改措施。8）内部控制有效性的结论（基准日）。 敬请注意：1、存在一个或多个内控重大缺陷的，应作出内控无效的结论。2、评价范围应为整个内控。3、评价结果要妥当处理。4、缺陷表述方式适当。补充讲1：内控的难点1、信息不对称与内控2、利益冲突（串通）与内控3、管理层逾越与内控 （

15、非常规业务+重大会计估计）4、舞弊与内控 （舞弊三角理论：动机、机会、理由） 补充讲2：对国有控股上市公司的建议1、问题一般多出在二级及其以下级别的公司，集团公司本身出大问题的不多。2、最好是设立全资或控股的下级公司，不搞不痛不痒的所谓少量参股。3、子公司、分公司最多设到二级，做好不再设立所谓孙公司或孙子公司。4、对下级公司的授权额度要特别注意控制。5、对二级公司权责利机制和制度要做适当的设计。6、小心和民营企业合作和交往，最好少与他们合作、交往。 4、内部控制审计引子： 1、CPA和企业的责任都在不断地加大；2、内控审计结果将成为考核企业的重要指标；3、与财务报表审计有联系，又有区别。建议:

16、 CPA和企业（公司）领导层都要高度重视内部控制问题 背景回顾：美国内部控制审计的发展历程2002年， 萨班斯奥克斯利法案 2004年3月，PCAOB，AS NO2 2007年6月，PCAOB，AS NO5An audit of Internal Control Over Financial Reporting That is Integrated with An audit of Financial Statements CPA与内控关系发展史： 财务报表审计中不关注内控 财务报表审计中关注与审计相关的内控（新旧国际准则要求不同） 单独审核（EXAMINATION） 财务报告内部控制 单独审

17、计财报内控（AUDIT）（跨入双重审计新时代）， 要求公司管理层先得编制内部控制自评报告，后CPA再审计(1)该项业务属何种类型？1、鉴证（Assurance Engagement）2、审计(audit)(美国现行做法)3、审核(examination)(美国原来做法)4、非鉴证业务如咨询服务 （CPA界和审计学界有人主张）（2）内控审计的范围 1）只负责审计财务报告内部控制 本指引中内部控制审计的范围，是指企业为了合理保证财务报告真实完整而设计和运行的内部控制，即财务报告内部控制。 2）对非财务报告内部控制的责任 对内部控制审计过程中注意到的非财务报告内部控制的缺陷，注册会计师应当在内部控制

18、审计报告中予以描述，但无需对其有效性发表审计意见。（3）内控审计业务由谁来做？问题1：同一单位的内部控制审计 和财务报表审计由谁来做？ 1）同一会计师事务所（国外做法） 2）不同的会计师事务所问题2：同一单位內控的咨询和审计 要不要执行分离？(内控基本规范的规定？业务相容?独立道德?)（4）对时点还是时期内控发表意见1）只对特定时点相关内控的有效性发表意见（为什么不对时期内控有效性发表意见？）2）为什么还要同时收集特定时期相关内控的有效性 讨论：企业该怎么做？（5）与财务报表审计整合进行1）整合的要点内部控制了解和测试2）以风险评估为基础3）采用自上而下方法选择拟测试的控制注意：重大缺陷与重大错报的联系与区别（6）内部控制审计意见及审计处理 1）需要几种审计意见（只有3种，不准发表保留意见） 内控存在重大缺陷：否定意见(发现一个后还继续查吗?) 审计范围收到限制：撤消业务约定，或无法表示意见 （此时在审计报告里，还要说明在审计范围受限前，CPA执行有限审计程序所发现的重大缺陷吗？） 2）查出内控缺陷的层次及不同的审计处理 Deficiency_缺陷_可能沟通 Significant Defi._重要缺陷_仅沟通即可